11.05.2018

Dé tips voor AVG-compliance op de valreep

Met de AVG voor de deur hebben veel organisaties dezelfde vragen. Hoe worden we AVG compliant op de valreep? SafeHarbour’s Martijn van der Veen hoort deze vraag regelmatig. Zijn belangrijkste advies? Vooral kalm blijven…

Door Martijn van der Veen:

Vorige week praatte ik bij met een Functionaris voor Gegevensbescherming (FG) van een middelgrote organisatie. We spreken elkaar regelmatig maar ditmaal was het een kort gesprek: “druk druk druk met de AVG.” Ik was verbaasd, want deze organisatie is al sinds 2016 goed bezig met de invoer van privacy. Vanaf de meldplicht datalekken hebben ze doorgepakt en ik had het idee dat ze goed op weg waren met de invoer van de AVG: “Jawel, maar vanuit het bestuur en de afdelingen worden we opeens bestookt met vragen en opdrachten. Leveranciers komen met verwerkersovereenkomsten die we moeten checken. Mijn actielijst loopt over en we moeten nog voor 25 mei een aantal workshops houden.”

Ook interessant, de deadlines op een rij: Gemeente Timeline 2018 »

De gekte van de AVG

Helaas klinkt dit al te bekend, de laatste maanden is een gekte ontstaan rondom de AVG. Die gekte wordt aangejaagd door berichten op de radio, via nieuwsbrieven en in de krant. Hoofdboodschap? Word nu compliant of krijg een flinke boete. Daarnaast is het sluiten van verwerkersovereenkomsten een nationale sport geworden. Een groot deel van de hectiek ontstaat doordat de AVG vraagt om de hele organisatie door te lichten en te herijken. Wie daar nog nooit goed naar heeft gekeken moet nu van ver komen.

AVG compliant op 25 mei?

Ik ben bang dat veel organisaties niet totaal AVG compliant zijn op 25 mei. Misschien in grote lijnen wel, maar de AVG doorvoeren tot in de haarvaten…? Toch hoeft dat geen probleem te zijn zolang een goede basis is gelegd. Sowieso is paniek niet nodig. Wel slim acteren. Bij sommige bestuurders wordt pas sinds kort enige urgentie gevoeld, dat geeft een kans om dat momentum te benutten en samen met bestuurders middelen in te zetten om vanaf nu wel een solide privacyproject te draaien. Daarbij is het slim zo goed mogelijk te prioriteren.

Tip 1: Stel prioriteiten

Stel, u krijgt de vraag welke prioriteiten u wilt stellen, welke kiest u dan? Als ik drie onderwerpen mag kiezen waar ik mij op zou mogen richten dan zou ik kiezen voor:

  • het verbeteren van de privacyorganisatie;
  • het doornemen van leveranciers en verwerkers;
  • de informatieplicht.

Bij het verbeteren van de opzet van een privacyorganisatie beantwoordt u vragen over de governance en vragen als hoe om te gaan met advisering en toezicht en het kanaliseren van vragen. Het gaat in de eerste plaats om het positioneren van de Functionaris voor Gegevensbescherming.

De Autoriteit Persoonsgegevens heeft aangegeven dat zij als eerste checken of alle organisaties die een FG zouden moeten aanstellen dit ook daadwerkelijk hebben gedaan. Hoeveel organisaties moeten ‘nee’ verkopen?

Tip 2: Ondersteun de Functionaris Gegevensbescherming met Privacy Officers

De FG kan ondersteund worden door Privacy Officers. Dit zijn medewerkers met privacy in hun takenpakket, verspreid door de hele organisatie. Ze zijn de oren en ogen van de FG en kunnen op de werkvloer adviseren en taken uitvoeren. Liever een training voor gevorderden voor dit kleine groepje dan een reeks algemene awareness-sessies met daarin de basisbegrippen die voor de rest van de organisatie wel nuttig zijn. Met een lopende privacy-organisatie kan verder worden gebouwd aan het privacybeleid en kunnen aanpassingen worden doorgevoerd. Zeker met het oog op het privacybeheer kunt u hier nog veel aan hebben.

Tip 3: Rond onderdelen af

Liever een paar onderdelen goed op orde dan een stapel onderdelen net-niet. Dus zijn jullie al goed op weg op bepaalde onderdelen? Pak daar dan op door en rond deze netjes af. Ik heb een voorkeur voor informatiebeveiliging en het informeren van betrokkenen. Bij de eerste denk ik vooral aan het doorlichten van alle leveranciers. Voldoen ze nog wel aan uw standaarden en eisen? En, als dat nodig is, het afsluiten van nieuwe verwerkersovereenkomsten. Dat is niet altijd nodig. Een checklist waarmee u kunt nagaan of afspraken de elementen bevatten die vereist worden op grond van de AVG kan helpen. Vaak zijn alleen kleine aanpassingen nodig. Dan kunt u volstaan met een addendum of zelfs een aanvulling per email.

Implementeren en naleven van de AVG? Het SafeHarbour Privacy Management Systeem biedt uitkomst »

Tip 4: Breng een goed verhaal naar buiten

Informatieplicht hoort ook in het rijtje thuis van de AVG. Nu iedereen zich via radiospotjes, sportverenigingen en tal van branchebladen (bijvoorbeeld via interviews met de consumentenbond, vereniging eigen huis) bewust is van de AVG, zijn consumenten kritisch geworden. Zorg dat de informatie die wordt verstrekt aan bezoekers van de website, via inschrijfformulieren of bij het afsluiten van een contract helder is en de persoon goed informeert. Dat is niet alleen een kwestie van service. Het voorkomt ook inzageverzoeken van mensen omdat er een basis van vertrouwen wordt gecreëerd. Informeer de consument niet alleen over wat er gebeurt met hun gegevens, maar benut dit contact om te vertellen wat jouw visie is op gegevensbescherming.

Tip 5: Behoud het overzicht

Overzicht is key bij de beheersing van de interne processen omtrent informatiebeveiliging.
Met IC Control, dé Governance, Risk en Compliance tool, krijgt u dit inzicht. Het helpt u bij het beheersen van de interne processen, geeft u inzicht in de stand van zaken en biedt overzicht van de gedragscodes en wet- en regelgeving. Zo staat niemand er alleen voor. Wij helpen u graag met een overzichtelijk systematisch proces!

IC Control: Ja! Ik wil overzicht en structuur! »

Categorie: Nieuws

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »